プロファイルの同期を構成する (SharePoint Server 2010)
適用先: SharePoint Server 2010
トピックの最終更新日: 2016-11-30
プロファイルの同期 (または profile sync) を構成するには、多数の手順が必要です。この記事では、この構成プロセスをいくつかの短い段階に分けているので、進行状況を確認したり、間違った場合に戻る必要がある手順の数を減らしたりすることができます。組織の要件によっては、一部の段階を実装する必要がない場合があります。
この記事の内容
前提条件
ここでは、手順を実行するために必要な情報とアカウントについて説明します。また、手順を開始する前に完了する必要がある Microsoft SharePoint Server 2010 ファームの構成についても説明します。
手順
ここでは、プロファイルの同期を構成するために必要な各手順を詳しく説明します。
前提条件
プロファイルの同期を構成するときには、ユーザー インターフェイスで質問に答えるときに使用する情報が必要です。また、適切なアクセス許可が割り当てられたアカウント、および一部が既に構成されている SharePoint Server 2010 ファームが必要です。ここでは、プロファイルの同期を構成するときの前提条件について説明します。
このセクションの内容
情報を収集する
アカウントにアクセス許可を付与する
前提条件をインストールする
情報を収集する
この記事の手順を実行する前に、以下のワークシートに記入する必要があります。この記事の手順を実行するときに、このワークシートに記入した情報を使用します。
Connection Planning ワークシート: 作成する各プロファイル同期接続の詳細情報を記入します。記事「プロファイルの同期を計画する (SharePoint Server 2010)」には、ワークシートの記入方法が記載されています。
User Profile Properties ワークシート: ユーザー プロファイル プロパティと、プロパティが外部データ ソースにマップされる方法を確認します。記事「ユーザー プロファイルを計画する (SharePoint Server 2010)」には大部分のワークシートを記入する方法が、記事「プロファイルの同期を計画する (SharePoint Server 2010)」には、プロパティ マッピング情報を追加する方法が記載されています。
Profile Synchronization Planning ワークシート: User Profile Service アプリケーションとその前提条件の作成に必要な情報を収集します。User Profile Service アプリケーションが既にファームに組み込まれている場合は、このワークシートを省略できます。
ワークシートは、https://go.microsoft.com/fwlink/p/?LinkId=202832 から入手できます。
同期サーバーの名前を知る必要があります。同期サーバーは、User Profile Synchronization Service が実行されるサーバーです。記事「プロファイルの同期を計画する」の「同期サーバーを計画する」セクションでは、同期サーバーを選択する方法について説明します。
アカウントにアクセス許可を付与する
プロファイルの同期を構成するには、ファーム アカウントとファーム アカウントのパスワードを知る必要があります。さらに、同期対象のディレクトリ サービスごとに同期アカウントが必要になります。各アカウントに必要なアクセス許可については、「プロファイルの同期を計画する」の「アカウントのアクセス許可を計画する」セクションに記載されています。アカウントに正しいアクセス許可が付与されていない場合でも、構成手順を途中まで進めないとアクセス許可が正しくないことに気付かない可能性があります。
注意
アクセス許可が正しくないことは、プロファイルの同期を構成するときに発生するエラーの最も一般的な原因です。
注意
サーバー ファーム アカウントが管理アカウントである場合、そのアカウントの [パスワードの自動変更を有効にする] 機能を無効にする必要があります。
前提条件をインストールする
プロファイルの同期をセットアップするには、ファーム構成に Microsoft SharePoint Server 2010 をインストールする必要があります。最新の SharePoint Server 2010 の累積的な更新プログラムもインストールすることをお勧めします。ほとんどの更新プログラムには、プロファイルの同期に対する機能強化が組み込まれています。詳細については、「SharePoint 2010 製品の更新プログラム」(https://go.microsoft.com/fwlink/p/?LinkID=220218) を参照してください。
Microsoft SQL Server を完全にインストールする必要があります。Express Edition は使用できません。SQL Server 2008 を使用している場合は、Service Pack 1 (SP1) および累積的な更新プログラム 2 (CU2) を適用する必要があります。
手順
プロファイルの同期を構成するための段階は 4 つあります。状況によっては、いずれかの段階を実行する必要がない場合があります。この記事には、段階 0 もあり、プロファイルの同期を構成できるようにするために必要な前提条件の構成方法を説明しています。次に、すべての段階を示します。
段階 0: ファームを構成する
この段階では、個人用サイトをホストするサイト コレクションを作成し、User Profile Service アプリケーションを作成します。この作業を実行するには、ファーム管理者および SharePoint Server を実行しているコンピューターの Administrators グループのメンバーである必要があります。
段階 1: User Profile Synchronization Service を開始する
この段階では、User Profile Synchronization Service を開始します。この作業を実行するには、ファーム管理者および SharePoint Server を実行しているコンピューターの Administrators グループのメンバーである必要があります。
段階 2: 接続を構成し、ディレクトリ サービスからデータをインポートする
この段階では、プロファイル情報のインポート元の各ディレクトリ サービスへの同期接続を作成し、初期同期を実行します。この手順を実行するには、ファーム管理者または User Profile Service アプリケーションの管理者である必要があります。
段階 3: 接続を構成し、ビジネス システムからデータをインポートする
この段階では、プロファイル情報のインポート元の各ビジネス システムへの同期接続を作成し、同期を実行します。この手順を実行するには、ファーム管理者、または User Profile Service アプリケーションと Business Data Connectivity Service アプリケーション両方の管理者である必要があります。
段階 4: 接続を構成し、データをディレクトリ サービスにエクスポートする
この段階では、段階 2 で作成したプロファイル プロパティのマッピングを変更し、データを SharePoint Server からディレクトリ サービスにエクスポートします。この手順を実行するには、ファーム管理者または User Profile Service アプリケーションの管理者である必要があります。
プロファイルの同期を構成した後で、「定期的なプロファイルの同期のスケジュールを設定する (SharePoint Server 2010)」に記載されている情報を使用して、定期的な同期スケジュールを設定できます。
段階 0: ファームを構成する
この段階では、プロファイルを同期するためのインフラストラクチャを構成します。
この段階では、次の作業を行います。
個人用サイトをホストする Web アプリケーションを作成する
個人用サイトの管理パスを作成する
個人用サイトのホスト サイト コレクションを作成する
User Profile Service アプリケーションを作成する
NetBIOS ドメイン名を有効にする
User Profile Service を開始する
この段階で作業を実行するには、Farm Administrators SharePoint グループのメンバーおよび SharePoint Server を実行しているコンピューターの Administrators グループのメンバーである必要があります。
個人用サイトをホストする Web アプリケーションを作成する
この手順では、個人用サイトを配置する Web アプリケーションを作成します。Web アプリケーションは他のグループ作業サイトと共有されるアプリケーション プールに配置するか、共有 IIS Web サイトの個別のアプリケーション プールに配置できますが、個人用サイトを個別の Web アプリケーションに配置することをお勧めします。SharePoint Server 2010 サイト、アプリケーション プール、および IIS Web サイトの詳細については、「論理アーキテクチャ コンポーネント (SharePoint Server 2010)」を参照してください。Web アプリケーションの詳しい作成方法については、「Web アプリケーションを作成する (SharePoint Server 2010)」を参照してください。
Web アプリケーションを作成するには
[サーバーの全体管理] ホーム ページで、[アプリケーション構成の管理] セクションの [Web アプリケーションの管理] をクリックします。
リボンの [新規] をクリックします。
[新しい Web アプリケーションの作成] ページの [認証] セクションで、この Web アプリケーションに使用する認証モードを選択します。
[IIS Web サイト] セクションで、次の 2 つのオプションのどちらかを選択して、新しい Web アプリケーションの設定を構成します (Profile Synchronization Planning ワークシートを参照してください)。
[既存の IIS Web サイトを使用する] をクリックし、新しい Web アプリケーションをインストールする Web サイトを選択します。
[新しい IIS Web サイトを作成する] をクリックし、[名前] ボックスに Web サイトの名前を入力します。
新しい IIS Web サイトのポート番号、ホスト ヘッダー、またはパスを指定することもできます。
[セキュリティの構成] セクションで、認証プロバイダーを選択し、匿名アクセスを許可するかどうかと Secure Sockets Layer (SSL) を使用するかどうかを指定します。
[アプリケーション プール] セクションで、次のどちらかを実行します。
個人用サイトのアプリケーション プール (Profile Synchronization Planning ワークシートを参照) が既存のアプリケーション プールの場合、[既存のアプリケーション プールを使用する] をクリックし、ドロップダウン メニューから個人用サイトのアプリケーション プールを選択します。
個人用サイトのアプリケーション プール (Profile Synchronization Planning ワークシートを参照) が新規のアプリケーション プールの場合、[新しいアプリケーション プールを作成する] をクリックして個人用サイトのアプリケーション プールの名前を入力し、アプリケーション プールを実行するときに使用するアカウント (Profile Synchronization Planning ワークシートを参照) を選択するか、アプリケーション プールを実行するときに使用する新しい管理アカウントを作成します。
[データベース名と認証] セクションで、新しい Web アプリケーションのデータベース サーバー、データベース名、および認証方法を選択します。
データベース ミラーリングを使用する場合は、[フェールオーバー サーバー] セクションの [フェールオーバー データベース サーバー] ボックスに、コンテンツ データベースに関連付ける特定のフェールオーバー データベース サーバーの名前を入力します。
[サービス アプリケーションの接続] セクションで、Web アプリケーションで使用可能になるサービス アプリケーション接続を選択します。
[カスタマー エクスペリエンス向上プログラム] セクションで、[はい] または [いいえ] をクリックします。
[OK] をクリックして、新しい Web アプリケーションを作成します。
[作成済みアプリケーション] ページが表示されたら、[OK] をクリックします。
Profile Synchronization Planning ワークシートの "My Site Web application" 行に Web アプリケーションの名前を入力します。この情報は後で必要になります。
個人用サイトの管理パスを作成する
個人用サイトのホスト (およびユーザーの個人用サイト) を管理パスがまだ作成されていない URL に配置する場合は、「管理パスを定義する (SharePoint Server 2010)」の手順を使用して、以前に作成した個人用サイト Web アプリケーションで個人用サイトの管理パスを作成します。ほとんどの場合、既存の管理パスで十分です。
個人用サイトのホスト サイト コレクションを作成する
この手順では、ユーザーの個人用サイトをホストするサイト コレクションを作成します。サイト コレクションの詳しい作成方法については、「サイト コレクションを作成する (SharePoint Server 2010)」を参照してください。
個人用サイトのホスト サイト コレクションを作成するには
サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[サイト コレクションの作成] をクリックします。
[サイト コレクションの作成] ページの [Web アプリケーション] セクションで、個人用サイト Web アプリケーション (Profile Synchronization Planning ワークシートを参照) を選択します。
[タイトルと説明] セクションで、サイト コレクションのタイトルと説明を入力します。
[Web サイトのアドレス] セクションで、個人用サイトのホストの URL に使用するパスを選択します。ほとんどの場合、ルート ディレクトリ (/) の使用が適しています。
[テンプレートの選択] セクションで、[エンタープライズ] タブをクリックし、[個人用サイトのホスト] を選択します。
[サイト コレクション管理者] セクションに、サイト コレクションの管理者のユーザー名を <ドメイン>\<ユーザー名> の形式で入力します。
[代理のサイト コレクション管理者] セクションに、サイト コレクションの代理の管理者のユーザー名を入力します。
クォータを使用してサイト コレクションの記憶域を管理する場合は、[クォータ テンプレート] セクションの [クォータ テンプレートの選択] 一覧でテンプレートをクリックします。
[OK] をクリックします。
個人用サイトのホスト サイト コレクションが作成されると、[トップレベル サイトが作成されました] ページが表示されます。Profile Synchronization Planning ワークシートの "My Site Host site collection URL" 行にこの URL を入力します。サイト コレクションのルートを参照するためのリンクをクリックできますが、リンクをクリックすると、ユーザー プロファイルを読み込むことができないことが原因でエラーが発生します。この時点では、ユーザー プロファイルがインポートされていないので、これは予想どおりの動作です。
User Profile Service アプリケーションを作成する
この手順では、プロファイルの同期を管理するときに使用する User Profile Service アプリケーションを作成します。
User Profile Service アプリケーションの詳しい作成方法については、「User Profile Service アプリケーションを作成する」を参照してください。
User Profile Service アプリケーションを作成するには
サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。
[サービス アプリケーションの管理] ページのリボンで、[新規]、[User Profile Service アプリケーション] の順にクリックします。
[名前] セクションに、User Profile Service アプリケーションの名前を入力します (Profile Synchronization Planning ワークシートを参照してください)。
[アプリケーション プール] セクションで、User Profile Service アプリケーションを実行するアプリケーション プールを選択するか (既存のアプリケーション プールがある場合)、新しいアプリケーション プールを作成します (Profile Synchronization Planning ワークシートを参照してください)。
(別の名前を使用する場合を除いて) プロファイル データベース、同期データベース、およびソーシャル タグ データベースの既定値をそのまま使用し、フェールオーバー サーバーを使用している場合はそのサーバーを指定します。
[プロファイルの同期インスタンス] セクションで、同期サーバーを選択します (Profile Synchronization Planning ワークシートを参照してください)。
[個人用サイトのホストの URL] セクションで、前の手順で作成した個人用サイトのホスト サイト コレクションの URL を入力します (Profile Synchronization Planning ワークシートを参照してください)。
[個人用サイトの管理パス] セクションで、個人用サイトのホストの URL に追加するとユーザーの個人用サイトへのパスを示すパスの一部を入力します (Profile Synchronization Planning ワークシートを参照してください)。たとえば、個人用サイトのホストの URL が https://server:12345/ で、各ユーザーの個人用サイトを https://server:12345/personal/<ユーザー名> にする場合、個人用サイトの管理パスとして「/personal」を入力します。入力した管理パスは作成されるので、入力した名前の管理パスが事前に存在している必要はありません。
[サイトの名前付け形式] セクションで、名前付けスキームを選択します。
[既定のプロキシ グループ] セクションで、この User Profile Service のプロキシをこのファームの既定のプロキシ グループのメンバーにするかどうかを選択します。
[作成] をクリックします。
[新しい User Profile Service アプリケーションの作成] ページにメッセージ "プロファイル サービス アプリケーションが正しく作成されました" が表示されたら、[OK] をクリックします。
User Profile Service アプリケーションが作成されたことを確認するには、[サービス アプリケーションの管理] ページを更新します。[名前] 列の値が事前に作成した User Profile Service アプリケーションに対して指定した名前である 2 つのエントリが表示されるはずです。1 つ目のエントリは、サービス アプリケーションです。2 つ目のエントリは、サービス アプリケーションへの接続 (つまり、"プロキシ") です。
NetBIOS ドメイン名を有効にする
同期対象のいずれかのドメインの NetBIOS 名がその完全修飾ドメイン名と異なる場合は、User Profile Service アプリケーションで NetBIOS ドメイン名を有効にする必要があります。すべての NetBIOS 名がドメイン名と同じ場合は、この手順を省略できます。
NetBIOS ドメイン名を有効にするには
次の最小要件を満たしていることを確認します。
Add-SPShellAdmin を参照してください。
「about_Execution_Policies」(https://go.microsoft.com/fwlink/p/?LinkId=193050) を参照してください。
以下のコードをコピーし、メモ帳などのテキスト エディターに貼り付けます。
$ServiceApps = Get-SPServiceApplication $UserProfileServiceApp = "" foreach ($sa in $ServiceApps) {if ($sa.DisplayName -eq "<UPSAName>") {$UserProfileServiceApp = $sa} } $UserProfileServiceApp.NetBIOSDomainNamesEnabled = 1 $UserProfileServiceApp.Update()
<UPSAName> を User Profile Service アプリケーションの名前に置き換えます。
ファイルを
EnableNetBIOS.ps1
という名前で保存します。注意
別のファイル名を使用することもできますが、ファイルは拡張子が .ps1 の ANSI 形式のテキスト ファイルとして保存する必要があります。
[スタート] メニューの [すべてのプログラム] をクリックします。
[Microsoft SharePoint 2010 製品] をクリックします。
[SharePoint 2010 管理シェル] をクリックします。
ファイルの保存先のディレクトリに移動します。
Windows PowerShell コマンド プロンプトで、次のコマンドを入力します。
.\EnableNetBIOS.ps1
User Profile Service を開始する
この手順では、User Profile Service を開始します。
User Profile Service を開始するには
サーバーの全体管理 Web サイトの [システム設定] セクションで、[サーバーのサービスの管理] をクリックします。
[サーバーのサービス] ページで [サーバー] ボックスの一覧から同期サーバーを選択します (Profile Synchronization Planning ワークシートを参照してください)。
[サービス] 列の値が [User Profile Service] である行を見つけます。[状態] 列の値が [停止中] の場合、[処理] 列の [開始] をクリックします。
段階 1: User Profile Synchronization Service を開始する
この段階では、User Profile Synchronization Service を開始します。
この段階では、次の作業を行います。
User Profile Synchronization Service を開始する
不要なアクセス許可を削除する
IIS をリセットする
この段階で作業を実行するには、Farm Administrators SharePoint グループのメンバーおよび SharePoint Server を実行しているコンピューターの Administrators グループのメンバーである必要があります。
User Profile Synchronization Service を開始する
この手順では、User Profile Synchronization Service を開始します。User Profile Synchronization Service は、Microsoft Forefront Identity Manager (FIM) を使用して情報を外部システムと同期します。
User Profile Synchronization Service を開始するには
サーバーの全体管理 Web サイトの [システム設定] セクションで、[サーバーのサービスの管理] をクリックします。
[サーバーのサービス] ページで [サーバー] ボックスの一覧から同期サーバーを選択します。
[サービス] 列の値が [User Profile Synchronization Service] である行を見つけます。[状態] 列の値が [停止中] の場合、[処理] 列の [開始] をクリックします。
[User Profile Synchronization Service] ページの [ユーザー プロファイル アプリケーションを選択します。] セクションで、User Profile Service アプリケーションを選択します。
[サービス アカウント名とパスワード] セクションでは、ファーム アカウントが既に選択されています。ファーム アカウントのパスワードを [パスワード] ボックスと [パスワードの確認] ボックスに入力します。
[OK] をクリックします。
[サーバーのサービス] ページに、状態が [開始処理中] の User Profile Synchronization Service が表示されます。User Profile Synchronization Service を開始すると、SharePoint Server は、同期に参加するために FIM を準備します。これには、最大で 10 分かかることがあります。User Profile Synchronization Service が開始されたかどうかを確認するには、[サーバーのサービス] ページを更新します。
User Profile Synchronization Service が開始されていない場合は、ファーム アカウントに同期サーバーで必要なアクセス許可が付与されていることを確認します。どのアクセス許可が必要かの詳細については、「プロファイルの同期を計画する」の「アカウントのアクセス許可を計画する」セクションを参照してください。
不要なアクセス許可を削除する
User Profile Synchronization Service の開始後は、ファーム アカウントは同期サーバーの管理者である必要がありません。SharePoint Server インストールのセキュリティを強化するために、ファーム アカウントを同期サーバーの Administrators グループから削除します。ただし、次の 2 つのシナリオを考慮してください。
User Profile Service アプリケーションのバックアップを実行するときは、サービスを停止および開始できるように、ファーム アカウントは同期サーバーの管理者でなければなりません。User Profile Service アプリケーションのバックアップを実行する前に、ファーム アカウントを同期サーバーの Administrators グループに追加します。バックアップが完了したら、同期サーバーの Administrators グループからファーム アカウントを削除します。
注意
一部の正常性ルールは、ファーム アカウントがローカル コンピューターの Administrators グループのメンバーであることを警告します。このシナリオを実行する目的で、ファーム アカウントを意図的に Administrators グループに追加した場合は、この警告を無視できます。
ファームに SharePoint Server 2010 を実行する複数のサーバーがあり、そのうち 2 台以上のサーバーで User Profile Service が実行されている場合は、同期タイマー ジョブが失敗することがあります。この問題は、同期タイマー ジョブを実行するサーバーが同期サービスを実行していない場合に発生します。この問題を解決するには、ファーム アカウントに、同期サービスを実行するサーバーに対するリモートの有効化アクセス許可を付与します。これにより、タイマー ジョブを取得するのがどのサーバーであっても、タイマー ジョブは正常に実行されます。
ファーム アカウントに Microsoft FIM 2010 に対するリモートの有効化アクセス許可を付与するには
同期サービスを実行しているサーバーで、[開始] をクリックします。
[実行] をクリックして、「wmimgmt.msc」と入力し、[OK] をクリックします。
[WMI コントロール] を右クリックし、[プロパティ] をクリックします。
[WMI コントロール (ローカルの) プロパティ] ダイアログ ボックスで [セキュリティ] タブをクリックします。
[ルート] 一覧を展開し、Microsoft FIM 2010 名前空間 [MicrosoftIdentityIntegrationServer] を選択します。
[セキュリティ] ボタンをクリックします。
ファーム アカウントをグループとユーザーの一覧に追加し、[Authenticated Users のアクセス許可] ボックスで、[リモートの有効化] アクセス許可に対して [許可] を選択します。
[OK] をクリックして [セキュリティ ROOT\MicrosoftIdentityIntegrationServer] ダイアログ ボックスを閉じ、さらに [OK] をクリックして [WMI コントロール (ローカル) のプロパティ] ダイアログ ボックスを閉じます。
IIS をリセットする
サーバーの全体管理 Web サイトと User Profile Synchronization Service を同じサーバーで実行している場合は、User Profile Synchronization Service の開始後に IIS をリセットする必要があります。それぞれ異なるサーバーで実行している場合は、この手順を省略できます。
IIS をリセットするには
同期サーバーで、[スタート] ボタン、[すべてのプログラム] の順にクリックし、[アクセサリ] を展開して [コマンド プロンプト] を右クリックし、[管理者として実行] をクリックします。
[ユーザー アカウント制御] ダイアログ ボックスで、[はい] をクリックします。
[管理者: コマンド プロンプト] ウィンドウで、「iisreset」と入力し、Enter キーを押します。
"インターネット サービスは正常に再開されました" というメッセージが表示されたら、[管理者: コマンド プロンプト] ウィンドウを閉じます。
注意
IIS をリセットした後、サーバーの全体管理 Web サイトのページを読み込むのに数秒かかります。
段階 2: 接続を構成し、ディレクトリ サービスからデータをインポートする
プロファイルをインポートするには、ディレクトリ サービスに対する 1 つ以上の同期接続が必要です。この段階では、プロファイルをインポートする各ディレクトリ サービスへの同期接続を作成します。1 つの接続を作成するたびに同期することも、すべての接続を作成してから一度に同期することもできます。接続を作成するたびに同期すると、時間はかかりますが、発生する可能性がある問題のトラブルシューティングを簡単に行うことができます。
フェーズ 2 のタスクを示すビデオを見るには、「Configure a profile synchronization connection in SharePoint Server 2010 (video)」を参照します。
この手順を実行するには、ファーム管理者または User Profile Service アプリケーションの管理者である必要があります。ファーム管理者でない場合は、[プロファイル サービスの管理] ページを使用して各手順を開始します。
この段階では、次の作業を行います。
タイマー ジョブの無効化
ディレクトリ サービスへの同期接続を作成する
除外フィルターを定義する
ユーザー プロファイルのプロパティをマップする
プロファイルの同期を開始する
タイマー ジョブの無効化
接続を作成または変更する前に、個人用サイトのクリーンアップ タイマー ジョブを無効にする必要があります。このタイマー ジョブの詳細については「タイマー ジョブ リファレンス (SharePoint Server 2010)」、このタイマー ジョブの有効化および無効化に使用する Windows PowerShell コマンドレットについては「タイマー ジョブのコマンドレット (SharePoint Server 2010)」を参照してください。
ディレクトリ サービスへの同期接続を作成する
この手順では、ディレクトリ サービスへの接続を作成します。接続では、同期するアイテムを指定し、ディレクトリ サービスとやりとりするときに使用する資格情報を追加します。Connection Planning ワークシートに基づいて情報を入力します。
ディレクトリ サービスへのプロファイルの同期接続を作成するには
サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。
[サービス アプリケーションの管理] ページで、User Profile Service アプリケーションを選択します。
[プロファイル サービスの管理] ページの [同期] セクションで、[同期接続の構成] をクリックします。
[同期接続] ページで、[新しい接続の作成] をクリックします。
[新しい同期接続の追加] ページで、[接続名] ボックスに同期接続の名前を入力します。
[種類] ボックスの一覧から、接続先のディレクトリ サービスの種類を選択します。
[接続の設定] セクションで、作成する接続の対象のディレクトリ サービスに応じて入力します。
Active Directory ドメイン サービス (AD DS) の場合、次の手順を実行します。
[フォレスト名] ボックスに、フォレストの名前を入力します。
次のどちらかの操作を行います。
フォレストに存在するのが 1 つのドメイン コントローラーのみの場合は、[ドメイン コントローラーの自動検出] をクリックします。
フォレストに複数のドメイン コントローラーがある場合は、[ドメイン コントローラーの指定] を選択し、ドメイン コントローラーの名前を [ドメイン コントローラー名] ボックスに入力します。
[認証プロバイダーの種類] ボックスで、認証プロバイダーの種類を選択します。
[フォーム認証] または [信頼できるクレーム プロバイダー認証] を選択した場合、[認証プロバイダー インスタンス] ボックスで認証プロバイダーを選択します。
[認証プロバイダー インスタンス] の一覧には、現在 Web アプリケーションによって使用されている認証プロバイダーのみが表示されます。
ヒント
認証プロバイダーの一覧が表示されるようにするには、[認証プロバイダーの種類] ボックスで、[信頼できるクレーム プロバイダー認証]、[フォーム認証] の順に選択しなければならない場合があります。
[アカウント名] ボックスに、同期アカウントを入力します。
[パスワード] ボックスに、同期アカウントのパスワードを入力します。
[パスワードの確認] ボックスに、同期アカウントのパスワードをもう一度入力します。
[ポート] ボックスに、接続ポートを入力します。
ディレクトリ サービスに接続するために Secure Sockets Layer (SSL) 接続が必要な場合、[SSL でセキュリティ保護された接続の使用] チェック ボックスをオンにします。
重要
SSL を使用する接続を作成するには、SharePoint Server 2010 の 2010 年 8 月 31 日以降の累積的な更新プログラムをインストールする必要があります。累積的な更新プログラムの詳細については、「SharePoint 2010 製品の更新プログラム」(https://go.microsoft.com/fwlink/p/?LinkID=220218) を参照してください。
重要
SSL 接続を使用する場合は、ドメイン コントローラーの証明書を Active Directory サーバーからエクスポートして、同期サーバーにインポートする必要があります。
Novell eDirectory、Sun Java System Directory Server、または IBM Tivoli Directory Server (ITDS) の場合、次の手順を実行します。
[ディレクトリ サービス サーバー名] ボックスに、ディレクトリ サービス サーバーの名前を入力します。
[認証プロバイダーの種類] ボックスで、認証プロバイダーの種類を選択します。
[認証プロバイダー インスタンス] ボックスで、認証プロバイダーを選択します。
[認証プロバイダー インスタンス] の一覧には、現在 Web アプリケーションによって使用されている認証プロバイダーのみが表示されます。
ヒント
認証プロバイダーの一覧が表示されるようにするには、[認証プロバイダーの種類] ボックスで、[信頼できるクレーム プロバイダー認証]、[フォーム認証] の順に選択しなければならない場合があります。
[アカウント名] ボックスに、LDAP 形式 (例: uid=username,ou=ouname,dc=yourcompany,dc=Com) で同期アカウントを入力します。
[パスワード] ボックスに、同期アカウントのパスワードを入力します。
[パスワードの確認] ボックスに、同期アカウントのパスワードをもう一度入力します。
[ポート] ボックスに、接続ポートを入力します。
[SSL でセキュリティ保護された接続の使用] チェック ボックスがオフになっていることを確認します。これらのディレクトリ サービスに対して SSL 接続はサポートされていません。
[ユーザー名の属性] ボックスに、各プロファイルの一意識別子の役割を果たすディレクトリ サービスの属性の名前を入力します。
[コンテナー] セクションで、[コンテナーの作成] をクリックし、同期するコンテナーをディレクトリ サービスから選択します。
[OK] をクリックします。
同期接続の除外フィルターを定義する
この手順では、同期から除外するユーザー プロファイルとグループを示す接続のフィルターを定義します。Connection Planning ワークシートに基づいて情報を入力します。
接続フィルターを定義するには
サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。
[サービス アプリケーションの管理] ページで、User Profile Service アプリケーションの名前をクリックします。
[プロファイル サービスの管理] ページの [同期] セクションで、[同期接続の構成] を選択します。
[同期接続] ページで、プロファイルの同期の接続フィルターを構成する接続を右クリックし、[接続のフィルターの編集] をクリックします。
[接続のフィルターの編集] ページの [ユーザーの除外フィルター] セクションで、フィルターの句を結合するために使用する演算子を選択します。
フィルターのすべての句が該当するように指定するには、[すべてを適用 (AND)] を選択します。
フィルターの句の少なくとも 1 つが該当するように指定するには、[いずれかを適用 (OR)] を選択します。
[属性] ボックスの一覧で、比較するディレクトリ サービス属性を選択します。
[演算子] ボックスの一覧で、使用する比較演算子を選択します。
注意
利用できる演算子は、選択した属性のデータ型に応じて異なります。各データ型で利用できる演算子の一覧については、「接続フィルターのデータ型と演算子 (SharePoint Server 2010)」を参照してください。
[フィルター] ボックスに、属性と比較する値を入力します。
[追加] をクリックします。
追加した句は、[ユーザーの除外フィルター] 領域に表示されます。
その他の句をフィルターに追加するには、手順 6. から手順 9. を繰り返します。
同期されるグループをフィルター処理するには、ページの [グループの除外フィルター] セクションを使用して、手順 5. から手順 9. を繰り返します。
接続フィルターの追加が完了したら、[OK] をクリックします。
注意
SharePoint サーバーの全体管理を使用すると、すべてが AND 句またはすべてが OR 句のフィルターのみを定義できます。AND 句と OR 句が混在するような複雑なフィルターを定義する場合は、FIM Synchronization Service Manager でこれらのフィルターを編集できます。FIM Synchronization Service Manager は、%rootdir%\Program Files\Microsoft Office Servers\14.0\Synchronization Service\UIShell\miisclient.exe にあります。
ただし、SharePoint サーバーの全体管理でフィルター変更を行うと、すべてが AND 句またはすべてが OR 句の設定で上書きされ、複雑なフィルター設定が消去されます。したがって、SharePoint サーバーの全体管理でフィルター設定を表示または変更するときは、設定を保存しないでください。ただし、その設定で FIM Synchronization Service Manager のフィルター設定を上書きする場合は除きます。
ユーザー プロファイルのプロパティをマップする
この手順では、SharePoint Server ユーザー プロファイルのプロパティをディレクトリ サービスから取得されるユーザー情報にマップする方法を指定します。User Profile Properties ワークシートの User Profile Properties データ シートでユーザー プロファイルのプロパティをマップする方法を決定しておく必要があります。
この手順は後の段階で再び使用して、ユーザー プロファイルのプロパティをビジネス システムから取得される情報にマップし、情報をディレクトリ サービスに書き戻すときの SharePoint Server のユーザー プロファイルのプロパティの使用方法をマップします。この段階まで進んでいない場合は、ビジネス システムとデータのエクスポートに関する手順の部分は省略してください。
ユーザー プロファイルのプロパティをマップするには
サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。
[サービス アプリケーションの管理] ページで、User Profile Service アプリケーションの名前をクリックします。
[プロファイル サービスの管理] ページの [人] セクションで、[ユーザー プロパティの管理] をクリックします。
[ユーザー プロパティの管理] ページで、ディレクトリ サービスのプロパティにマップする SharePoint Server プロパティを右クリックし、[編集] をクリックします。
既存のマッピングを削除するには、[同期のためのプロパティ マッピング] セクションで、削除するマッピングを選択し、[削除] をクリックします。
新しいマッピングを追加するには、以下の手順を実行します。
[新しいマッピングの追加] セクションの [ソースへのデータ接続] ボックスの一覧で、SharePoint Server プロパティをマップする外部システムを表すデータ接続を選択します。
[属性] ボックスの一覧で、プロパティをマップする外部システム内の属性の名前を選択します。
ヒント
データ型に互換性がある場合に限り、ユーザー プロファイルのプロパティを外部システムの属性にマップできます。新しいマッピングを作成するときに属性が一覧表示されない場合は、ユーザー プロファイルのプロパティと属性のデータ型が一致していない可能性があります。どのデータ型に互換性があるかについては、「ユーザー プロファイルのプロパティのデータ型 (SharePoint Server 2010)」を参照してください。
[方向] ボックスの一覧で、マッピングの方向を選択します。
方向が [インポート] の場合、外部システムの属性値が SharePoint Server にインポートされ、その値を使用して SharePoint Server プロパティの値が設定されます。方向が [エクスポート] の場合、SharePoint Server のプロパティの値が外部システムにエクスポートされ、その値を使用して外部システムの属性値が設定されます。
注意
マッピングは編集できません。マッピングの方向を変更するには、最初に古い方向が指定されたマッピングを削除してから、新しい方向でマッピングを作成し、そのマッピングを追加する必要があります。
[追加] をクリックします。
[OK] をクリックします。
手順 4. ~ 7. を繰り返して、他のプロパティをマップします。
プロファイルの同期を開始する
この手順を使用して、ディレクトリ サービス、ビジネス システムなどの外部システムと SharePoint Server 2010 の間でプロファイル情報を同期します。
プロファイルの同期を開始するには
既にユーザーをインポートしているか個人用サイトを作成しており、NetBIOS ドメイン名を有効にしており、まだ個人用サイト クリーンアップのタイマー ジョブを無効にしていない場合は、プロファイルの同期を開始する前に、そうする必要があります。このタイマー ジョブの詳細については、「タイマー ジョブ リファレンス (SharePoint Server 2010)」を参照してください。このタイマー ジョブの有効化および無効化に使用する Windows PowerShell コマンドレットの詳細については、「タイマー ジョブのコマンドレット (SharePoint Server 2010)」を参照してください。
サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。
[サービス アプリケーションの管理] ページで、User Profile Service アプリケーションの名前をクリックします。
[プロファイル サービスの管理] ページの [同期] セクションで、[プロファイルの同期の開始] をクリックします。
[プロファイルの同期の開始] ページで、初めて同期する場合、および最後に同期してから同期接続またはプロパティ マッピングを追加または変更した場合は [完全同期の開始] を選択します。最後に同期してから変更された情報だけを同期する場合は、[増分同期の開始] を選択します。
[OK] をクリックします。
[プロファイル サービスの管理] ページが表示されます。
個人用サイト クリーンアップのタイマー ジョブを有効にする場合は、この追加の手順を完了してからジョブを有効にします。
このセクションに記載されている手順で、プロファイル同期を再度実行します。
2 回目のプロファイル同期が完了したら、サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。
User Profile Service アプリケーション名をクリックし、[ユーザー プロファイルの管理] をクリックします。
[プロファイル サービスの管理] ページの [人] セクションで、[ユーザー プロファイルの管理] をクリックします。
[ビュー] の横の [インポートに含まれていないプロファイル] を選択します。
[プロファイルの検索] ボックスにプロファイルのドメインを入力し、[検索] をクリックします。
返されるプロファイルごとに、そのプロファイルの状態について、Active Directory などの元のディレクトリ サービスを確認します。ディレクトリ内の返された任意のプロファイルの状態が無効になっていない、または削除されていない場合は、個人用サイトのクリーンアップ ジョブを有効にしないでください。さらにサポートが必要な場合は、Microsoft サポートにお問い合わせください。それ以外の場合は、個人用サイトのクリーンアップ ジョブを有効にします。このタイマー ジョブを有効および無効にするために使用する Windows PowerShell コマンドレットの詳細については、「タイマー ジョブのコマンドレット (SharePoint Server 2010)」を参照してください。
完全同期は終了するまでに時間がかかる可能性があります。[プロファイル サービスの管理] ページを更新すると、同期ジョブの進行状況をページの右側で確認できます。プロファイルの同期は複数の段階で構成されており、プロファイルはすぐにはインポートされません。同期処理が進行しても [プロファイル サービスの管理] ページは自動的に更新されません。
段階 3: 接続を構成し、ビジネス システムからデータをインポートする
人事システム、財務システムなど、ビジネス システムからデータをインポートし、そのデータを使用して、プロパティを既存のユーザー プロファイルに追加できます。外部システムの情報を SharePoint Server 2010 に追加する外部コンテンツ タイプを既に作成している必要があります。ビジネス システムと同期するために外部コンテンツ タイプを作成する方法については、「プロファイルの同期を計画する (SharePoint Server 2010)」を参照してください。
外部コンテンツ タイプを作成し、フェーズ 3 のタスクを実行する方法を示すビデオを見るには、「SharePoint Server 2010 で SQL Server データベースへの同期接続を構成する (ビデオ)」を参照してください。
この段階は省略できます。
この手順を実行するには、ファーム管理者または、User Profile Service アプリケーションと Business Data Connectivity Service アプリケーション両方の管理者である必要があります。ファーム管理者でない場合は、[プロファイル サービスの管理] ページで各手順を開始します。
この段階では、次の作業を行います。
User Profile Service アプリケーションに外部コンテンツ タイプを使用するためのアクセス許可を付与する
Business Data Connectivity 同期接続を構成する
ユーザー プロファイルのプロパティを追加または編集する
ビジネス システムからデータをインポートする
User Profile Service アプリケーションに外部コンテンツ タイプを使用するためのアクセス許可を付与する
この手順を使用して、外部コンテンツ タイプに対して操作を実行するためのアクセス許可をファーム アカウントに付与します。外部コンテンツ タイプに対するアクセス許可を設定する方法については、「外部コンテンツ タイプに対するアクセス許可を設定する」を参照してください。
注意
Business Connectivity Services では、外部コンテンツ タイプに対するアクセス許可とビジネス システムに対するアクセス許可を使用して、承認規則を特定します。ファーム アカウントにはビジネス システムにアクセスするためのアクセス許可も必要です。認証とアクセス許可の詳細については、「Business Connectivity Services のセキュリティの概要 (SharePoint Server 2010)」を参照してください。
この手順を実行するには、次に示す管理者の資格情報のどちらかが必要です。
ファーム管理者である必要があります。
Business Data Connectivity Service アプリケーションの管理者であり、同期している外部コンテンツ タイプに対するアクセス許可の設定アクセス許可が付与されている必要があります。
外部コンテンツ タイプを使用するためのアクセス許可を User Profile Service アプリケーションに付与するには
サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。
[サービス アプリケーションの管理] ページで、[Business Data Connectivity Service] を選択します。
同期する情報を表している外部コンテンツ タイプのチェック ボックスをオンにします。
[権限] グループの [オブジェクトの権限の設定] をクリックします。
ボックスにファーム アカウントを入力し、[追加] をクリックします。
[<アカウント> の権限] ボックスで、[実行] を選択します。
注意
ファーム アカウントが [<アカウント>の権限] ボックスに表示される唯一のアカウントである場合は、ファーム アカウントに、外部コンテンツ タイプに対するアクセス許可の設定を付与する必要があります。外部コンテンツ タイプのアクセス制御リストにある 1 つ以上のユーザー、グループ、クレームに、アクセス許可の設定アクセス許可が必要です。
[OK] をクリックします。
[アクセス許可をこの外部コンテンツ タイプのすべてのメソッドに伝達します。これにより、既存のアクセス許可が上書きされます。] チェック ボックスがオンになっていることを確認します。
手順 3. ~ 8. を繰り返して、他の外部コンテンツ タイプに対するアクセス許可を設定します。
Business Data Connectivity 同期接続を構成する
この手順では、各外部コンテンツ タイプの接続を作成します。接続では、ビジネス システムのデータとプロファイルのプロパティを関連付ける方法を指定します。Connection Planning ワークシートに基づいて情報を入力します。
プロファイルの同期接続を作成するには
サーバーの全体管理 Web サイトの [アプリケーション構成の管理] セクションで、[サービス アプリケーションの管理] をクリックします。
[サービス アプリケーションの管理] ページで、User Profile Service アプリケーションを選択します。
[プロファイル サービスの管理] ページの [同期] セクションで、[同期接続の構成] をクリックします。
[同期接続] ページで、[新しい接続の作成] をクリックします。
[新しい同期接続の追加] ページで、[接続名] ボックスに同期接続の名前を入力します。
[種類] ボックスの一覧で、[Business Data Connectivity] を選択します。
[Business Data Connectivity エンティティ] ボックスに、外部コンテンツ タイプの名前を入力します。
ヒント
外部コンテンツ タイプの名前がわからない場合は、[外部コンテンツ タイプを選択します] ボタンをクリックしてすべての外部コンテンツ タイプを表示します。一覧から外部コンテンツ タイプを選択し、[OK] をクリックします。
各ユーザー プロファイルが 1 つの外部コンテンツ タイプのインスタンスにだけマップされる場合は、次の手順を実行します。
[ユーザー プロファイル ストアを、Business Data Connectivity エンティティに 1 対 1 マッピングとして接続する] をクリックします。
[このプロファイル プロパティで特定されたアイテムを返す] ボックスの一覧で、ユーザー プロファイルと外部コンテンツ タイプのインスタンスを対応付けるときに使用するユーザー プロファイルのプロパティを選択します。ユーザー プロファイルのプロパティと外部コンテンツ タイプの識別子によって、ユーザー プロファイルと外部コンテンツ タイプの関係は 1 対 1 として定義されます。この 2 つを使用することによって、インポートしたプロパティを正しいユーザー プロファイルに確実に適用できます。
ヒント
[このプロファイル プロパティで特定されたアイテムを返す] ボックスの一覧には、外部コンテンツ タイプの識別子とデータ型が似ているすべてのユーザー プロファイルのプロパティが表示されます。
ユーザー プロファイルが複数の外部コンテンツ タイプのインスタンスにマップできる場合、次の手順を実行します。
[ユーザー プロファイル ストアを、Business Data Connectivity エンティティに 1 対多マッピングとして接続する] をクリックします。
[アイテムのフィルター条件] ボックスの一覧で、ユーザー プロファイルに適用する外部コンテンツ タイプのインスタンスを見つけるときに使用するフィルターを指定します。
注意
[アイテムのフィルター条件] ボックスの一覧には、外部コンテンツ タイプに定義されているすべてのフィルターが表示されます。
[このプロファイル プロパティをフィルター値として使用する] ボックスの一覧で、ユーザー プロファイルと外部コンテンツ タイプ インスタンスを対応付けるときに使用するユーザー プロファイル プロパティを選択します。
[OK] をクリックします。
手順 4. ~ 10. を繰り返して、接続を追加します。
ユーザー プロファイルのプロパティを追加または編集する
ビジネス システムのデータをインポートできるようにするには、ビジネス システムのデータをユーザー プロファイルのプロパティにマップする方法を指定する必要があります。User Profile Properties ワークシートの User Profile Properties データ シートに、インポートするビジネス システムのプロパティのリストと、このプロパティを SharePoint Server プロファイル ストアにあるプロファイルのプロパティにマップする方法が記入されています。
「ユーザー プロファイルのプロパティをマップする」セクションの手順に従って、その他のユーザー プロファイルのプロパティをマップします。データを既存のユーザー プロファイルのプロパティにマップする場合、そのプロパティを編集して、新しいマッピングを追加します。データを既存のユーザー プロファイルのプロパティにマップしない場合は、新しいカスタム プロパティを追加し、そのプロパティをマップします。
データをインポートする
データをビジネス システムからインポートするには、完全同期を実行する必要があります。「プロファイルの同期を開始する」セクションの手順に従って、完全同期を開始します。
段階 4: 接続を構成し、データをディレクトリ サービスにエクスポートする
前のフェーズでは、必要なプロファイルの同期接続を構成しました。プロファイル情報をディレクトリ サービスに書き戻すには、マッピング方向の [エクスポート] で、プロファイル プロパティをディレクトリ サービス内の属性にマップします。次にプロファイルの同期を実行すると、プロパティは、構成したマッピングに従ってインポートおよびエクスポートされます。
注意
プロファイル データは、Business Connectivity Services を使用してビジネス システムからインポートできますが、ビジネス システムにエクスポートできません。
この段階は省略できます。
この手順を実行するには、ファーム管理者または User Profile Service アプリケーションの管理者である必要があります。ファーム管理者でない場合は、[プロファイル サービスの管理] ページを使用して各手順を開始します。
プロパティをエクスポートするために新しい同期接続を作成しないでください。プロパティをディレクトリ サービスにエクスポートするには、プロパティをディレクトリ サービスからインポートするために作成した同期接続を使用します。プロパティをエクスポートするためだけに同期接続を使用することはできません。
「ユーザー プロファイルのプロパティをマップする」の手順に従います。今回は、マッピングの方向に [エクスポート] を選択します。マップするプロパティは、SharePoint Server から選択した接続が対象とするディレクトリ サービスにエクスポートされます。
「プロファイルの同期を開始する」の手順に従います。今回は、増分同期を実行することを選択します。ディレクトリ サービスの属性にエクスポートするためにマップされたすべての SharePoint Server プロファイルのプロパティの値が更新されます。
注意
一部のディレクトリ サービスでは、データをディレクトリ サービスに書き戻すために別のアクセス許可が必要な場合があります。「プロファイルの同期を計画する」の「アカウントのアクセス許可を計画する」セクションの情報を確認し、同期アカウントに必要なアクセス許可があることを確認します。
謝辞
SharePoint Server 2010 Content Publishing チームは、この記事の作成に協力していただいたエンタープライズ アーキテクトの Spencer Harbar 氏に感謝の意を表します。Harbar 氏のブログは、http://www.harbar.net に掲載されています。
See Also
Concepts
プロファイルの同期を管理する (SharePoint Server 2010)
定期的なプロファイルの同期のスケジュールを設定する (SharePoint Server 2010)
プロファイルの同期を計画する (SharePoint Server 2010)
Configure a profile synchronization connection in SharePoint Server 2010 (video)
SharePoint Server 2010 で SQL Server データベースへの同期接続を構成する (ビデオ)